APIスキャン

エンド・ツー・エンドのAPIセキュリティ

APIの脆弱性を自動的にマッピングし、スキャンします。長いDASTや入念なペンテストに費やす時間とリソースを節約します。

自動APIディスカバリー
REST & GraphQLファジングサポート
OWASPの主要リスクを網羅

無料で始める

デモを予約する

データは共有されない - 読み取り専用アクセス - CC不要

自動化されたAPIディスカバリーとセキュリティ

Aikido 、Swagger-to-trafficを使用してAPIをテストするためのサンプル・トラフィック・データを生成します。Zenの自動APIディスカバリーと組み合わせることで、（ドキュメント化されていない）エンドポイントや忘れ去られたエンドポイントが見落とされることはありません。大規模なインフラや最新のドキュメントは必要ありません。

更新されたSwaggerドキュメント/OpenAPI仕様の入手
攻撃対象領域を理解する
APIを完全にカバーする

コンテキストAPIスキャン

通常のコードチェックを超える。APIの脆弱性と欠陥を自動的にスキャンします。実際の攻撃をシミュレートし、一般的なセキュリティ脅威についてすべてのAPIエンドポイントをスキャンします。

手作業の削減
ペンテストの模倣、自動化、スケールアップ
コンテキストを考慮したDASTでより多くの脆弱性を見つける

従来のAPIセキュリティを刷新する

従来のAPIスキャナーや既存のソリューションでは不十分だ：

手動入力が必要：ユーザーは通常、テストのためにサンプル値を入力しなければならず、時間を浪費する。
不完全なテスト：多くのツールはフィールド値の送信を完全にスキップするため、スキャンが徹底されない。
企業レベルの複雑さ：他のソリューションはロードバランサーに依存していることが多く、中堅企業には利用しにくい。

AikidoAPIスキャナーは型破りだ：

Swagger-to-traffic：代表的なサンプル値をフィールドに自動的に入力し、テストの質と深度を向上させます。
ロードバランサー不要：企業インフラを持たない中規模組織での使いやすさを考慮して設計されています。
動的APIディスカバリー：Zenを使用して、Aikido Swaggerファイルを自動作成し、文書化されていないAPIを特定し、エンドポイントを見落とさないようにする。

なぜAikidoなのか？

Aikidoの仕組み

Swagger-to-Trafficエンドポイント・キュレーション

AikidoAPI Scannerは、ファジングと呼ばれる手法によって、テスト用のパラメータを持つAPIエンドポイントのリストをコンパイルする。高品質で現実的なサンプルデータを得るために、Swagger-to-trafficを使用します。

プッシュ・インテリジェント・リクエスト

AIを活用し、攻撃（SQLインジェクション、バリデーションエラーなど）をシミュレートするための標的型プッシュリクエストを送信します。

AIによるフィードバック

値の送信から、再送信リクエストに対するレスポンスの分析まで、私たちのAI搭載モデルは、可能な限り手作業によるペンテストを模倣することを目指しています。

企業のオーバーヘッドを必要としないチームのために構築

APIを完全にカバー

AikidoAPIセキュリティテストは、RESTとGraphQLを確実にカバーします。

組織に合わせて拡張可能

パフォーマンスを損なうことなく、最も重要な脆弱性を修正します。

Swaggerドキュメントの自動作成とテスト

Zenを有効にすると、すべてのAPIが自動的に検出され、ドキュメント化されます。新しく作成された API エンドポイントは自動的に Swagger ドキュメントに追加され、脆弱性がテストされます。

LLMに基づくサンプルデータの自動生成

私たちは、お客様のAPIのスキーマと期待される入力に合わせて、意味のあるテストデータを作成することができます。

オールインワン

断片的なセキュリティ・ツールをオールインワンのコード＆クラウド・セキュリティ・プラットフォームに置き換える

Aikido オールインワンのアプリケーション・セキュリティ・ソリューションを提供します。もう散在するセキュリティツールスタックは必要ありません。

よくあるご質問

もっと探索する

ドキュメンテーション

トラストセンター

インテグレーション

AikidoAPI Scannerはどのように活用すればよいですか？

API Scannerのテストはステージング環境でのみ行うことをお勧めします。なぜなら、実際に起こりうる（そしてアプリをダウンさせる可能性のある）激しい攻撃をシミュレートしているからです。

ファジング」とはどういう意味か？

ファジングとは、入力検証の失敗、バッファオーバーフロー、インジェクション攻撃、その他のセキュリティ上の欠陥などの潜在的な脆弱性を検出するために、不正な入力や予期しない入力を大量に送信してAPIをテストするプロセスである。

APIファジングの目的は、攻撃者に悪用される可能性のあるAPIの実装の弱点や脆弱性を発見することである。予期しない、あるいは不適切にフォーマットされたデータを注入することによって、ファジングはAPIが入力を処理する方法の欠陥や意図しない動作を明らかにすることができる。このアプローチは、攻撃者がシステムを侵害するために利用するかもしれないセキュリティリスクを特定するのに役立ちます。

スワッガー・ツー・トラフィックとは？

当社のLLMでお客様のSwagger (OpenAPI) ドキュメントを分析することにより、お客様のAPIのスキーマと期待される入力に合わせた意味のあるデータ例を生成することができます。この生成されたデータは、脆弱性を発見するためのファズテスト（DAST）で使用されます。

API ScannerはすべてのAPIフォーマットに対応できますか？

現在、RESTとGraphQLをサポートしている。APIはしばしば、従来のAIモデルを圧倒する循環参照のような、複雑で型破りなデータ形式を含んでいます。Aikido 、インテリジェントなグラフチェックシステムでこれを解決し、大規模言語モデル（LLM）によるシームレスな処理を保証するために、循環チェーンを切断します。

さらに、当社のアプリ内ファイアウォールであるZenと組み合わせて使用すると、Aikido Swaggerドキュメントを自動作成することができ、新しく作成されたAPIエンドポイントを自動的にドキュメント化し、脆弱性をテストすることができます。